B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Radovan Semančík
Základ bezpečnosti IT – jednotná správa používateľov
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Agenda Úvod: Identity Crisis Technológie správy používateľov Záver
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Súčasný stav IT Security
Nekonzistentné bezpečnostné politiky Nekonzistentné databázy používateľov Perimeter security je neefektívna Rýchle vírusové infekcie Útoky z vnútra organizácie Patching doesn't work
Identity Crisis
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Identity Crisis Nikto nevie, kto má mať kam prístup Nikto nevie, kde všade má zamestnanec prístup Prístupy na firewall/VPDN iné ako do IS Mobility vs Security Vysoké náklady: help desk, prestoje, zmeny
It's clear identity has become a strategic business issue, not just a technology issue.
-- Jamie Lewis, president of consultancy Burton Group
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Agenda Úvod: Identity Crisis Technológie správy používateľov Záver
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Mýtus centralizácie Jedna databáza/directory/repository
Nákladné na údržbu Bezpečnostné riziko Nie vždy technologicky možné (SQL join, offline, ...)
Nutná synchronizácia Nekonzistencia
Rôzne UID Rôzne typy prístupových práv Neexistuje štruktúra rolí
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Technológie správy používateľov Directory Server (LDAP)
Nutná podmienka, nie však postačujúca Len databáza, žiadna inteligencia
Provisioning system Synchronizácia údajov, workflow Organizačná štruktúra role
Metadirectory Jednoduché pravidlá, obmedzenia (rovnaké uid)
User Management, Doménové systémy, ... Jednoduché, jednoúčelové, prvý krok
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
User Provisioning
ProvisioningServer
DirectoryServer
LDAP
EAI Apps
EnterprisePortal
SPML
Oracle
WindowsDomains
HR
LinuxGroupWareSAP
DB Apps
Solaris
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Spôsob práce Provisioning ServeraProvisioning
Server
HR34567889RadovanSeman íkčIT ArchitectSystem Division
DirectoryServer
LDAP
dn: uid=rsemancik,o=bgsou: sysrole: itArchitectuserPassword: ...
SSH
Solaris
semancik:x:101:100:Radovan Semancik:...
RSERadovan Semancik34567889
SQLHR: 34567889LDAP: uid=rsemancik,...Solaris: semancikOracle: RSE Oracle
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Technologické rozdiely
Použitie Agentov Agentové technológie („tesne viazané“, problematické)
Bezagentové technológie („voľne viazané“)
Obsah centrálnej databázy Plné údaje (zložitá synchronizácia, konzistenčné problémy)
Len metadáta (stála konzistencia, nižší výkon)
Hybridné
Workflow Rôzne úrovne flexibility
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Dôležité špecifikácie Lightweight Directory Access Protocol (LDAP) Directory Services Markup Language (DSML) Service Provisioning Markup Language (SPML) Project Liberty Specification, Phase I Project Liberty Specification, Phase II WS-Security WS-Federation
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Service Provisioning Markup Language
Jazyk pre Provisioning systémy založený na XML
Štandardizácia: OASIS Provisioning Services Technical Committee
Založené na DSMLv2, spolupracuje so SAML a WS-Security
Štandardné rozhranie – ľahká integrácia
SPML
SPML
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Liberty Alliance Project
DirectoryServer
IdentityProvider
SAML
SAML
Portal
ServiceProvider
SAML
ServiceProvider
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Agenda Úvod: Identity Crisis Technológie správy používateľov Záver
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
UUM vs PKI vs SSO Unified User Management
Jednotná správa používateľov Nerieši autentifikáciu (len nepriamo)
Public Key Infrastructure Kryptografická infraštruktúra (nízkoúrovňová)
Nerieši správu používateľov (prístupové práva len okrajovo)
Single Sign On Autentifikačný systém Nerieši správu používateľov
Digital Identity, Identity Management
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Záver
Jednotná správa používateľov je prvý nutný krok PKI, Single Sign-On a Digital Identity až potom Orientácia na štandardy Dobrá architektúra, dobrý plán
It is possible to deploy identity in incremental steps, but you won't succeed if you haven't built an overall plan before you start.
-- Phil Becker, Digital ID World
B u s i n e s s G l o b a l S y s t e m s , a . s .
I T A P A 2 0 0 4
Otázky
B u s i n e s s G l o b a l S y s t e m s , a . s .
Ďakujem za pozornosť
Ing. Radovan Semančík
Business Global Systems, a.s.Pluhová 2
83248 Bratislava